Botnetze - Funktion, Erkennunf und Entfernung

Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010

1

Penetration Testing IIBachelor in Computer Science (BCS)

5. Semester

Botnetze- Funktion, Erkennung und Entfernung

von

Daniel Baier


2Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung

Gliederung• Einführung

�Definition

�Übersicht von aktiven Botnetzen

�Verwendungszweck• Techniken

� Infektion & Scanning

�Kommunikation�Update

�Verteidigung

• Erkennen und Entfernen� Infektionen von Bots erkennen und entfernen

�Aufspüren von Botnetzen

• Ausblick


3

Einführung

Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung


4

Einführung: Definition

Bot nach Dunham und Melnick:

„Malicous code that acts like a remotely controlled „robot“ for an attacker, with both Trojan und worm capabilities. This term mayrefer to the code itself or to an infected computer, also known as a drone or zombie.“



5


Zentralisierte Topologie (C&C)



6


Dezentralisierte Topologie (P2P)



7

Einführung: Übersicht von aktiven Botnetzen

Ozdok< 100.000Mega-D*

Bobax80.000-120.000Kraken

Tedroo600.000-800.000Grum

?600.000-800.000Bagle

RKRustok, Costrat1.200.000-2.000.000Rustock

Pandex, Mutant1.000.000-1.500.000Cutwail

? 20.000-36.000Xarvester

? 100.000-200.000Festi

?200.000-300.000Maazben

DownUp, DownAndUp, DownAdUp, Kido

9.000.000Conficker

AliasesGeschätzte BotzahlName

* wurde 11.09 von FireEye übernommenPenetration Testing II : Botnetze – Funktion, Erkennung und Entfernung


8


Bots die 2007 von

der ShadowserverFoundation

beobachtet wurden



9


Die Top 10 Länder mit

Conficker Infizierungen. Stand 29. Januar 2009.

Deutschland ist aufPlatz 190 mit 23881

Conficker infizierten Rechnern.



10

Einführung: Verwendungszweck

• Data Mining

• DDoS• Datendiebstahl

• Löschen von Hinweisen

• Proxy und Anoymisierer• Ransomeware

• Rekutrieren von Bots

• Reporting• Spamming & Phishing

• Verteilung von illegalen Inhalten

• …



11

Techniken



12

Techniken: Infektion & Scanning

2 Klassen von Infektionen:

� Infektion mittels Social Engineering: Interagieren mit dem Benutzer direkt

� Drive-by-download/Drive-by-infection

� Benutzer wird zum Ausführen verleitet (z.B. E-Mail Anhang)

� Automatisierte Infektion: Benötigt keine menschliche Interaktion

� Local Exploit� Remote Exploit



13


Beispiel für Social Engineering (Drive-by-download)



14


Beispiel für Remote Exploit (MPack)



15


„Scanning-Engine“

� In jeden Bot implementiert

� Nur definierte Scannen

� Unterschiedliche Scanning-Strategien:� Hit-list Scanning

� Topological Scanning

� Flash Scanning� Permutation Scanning

� Passive Scanning



16

2 Klassen der Kommunikation:

� Verbindungsaufnahme (Nachhause-Telefonieren)

� Verbindungsmethoden eines Bots zum C&C

� Methoden des Bot-Herders um „Herde zu hüten“

� Kommunikationsprotokolle (Inter-Botnet Kommunikation)

� Bots untereinander � Bots mit C&C

Techniken: Kommunikation



17

Verbindungsaufnahme (Nachhause-Telefonieren)

� Hart kodierte IP Adresse

Bullet Proof Hosting � z.B. Russian Business Network

� DynDNS� P2P � abhängig von P2P Technologie

� Fast-Flux Netzwerke




18

• Fast-Flux Netzwerke

� Single Flux Netzwerke:� Nur Änderung des DNS A Resource Records!

� Steuerung durch TTL, z.B. alle 3 Min. neue IP

� Double Flux Netzwerke:� Änderung des A und NS Resource Records

• Bsp. Single Flux:




19




20

Kommunikationsprotokolle (Inter-Botnet Kommunikation)

2 Arten

� Push:

� Andauernde Verbindung zum C&C� C&C entscheidet Zeitpunkt neuer Kommandos

� Pull:

� Gelegentliche Verbindung zum C&C� Bot erfragt neue Kommandos




21


Eigenes oder ICMPXXAndere

theoretischXXVoIP

Overnet (Kademlia)XXP2P

UnrealIRCdXIRC

ICQ, JabberXIM

TwitterXHTTP

BeispielPull

PushProtokoll



22

� Patching (Bugfix) � beheben von Fehlern

� Ändern der Binärdatei� Folge: Signaturänderung

� Ziel: Entdeckung durch Antiviren Programmen (AV) vermeiden

� Feature Adding� Exploit Archiv aktualisieren/vergrößern

� Nachladen von neuen Mechanismen

� Ändern der Kommunikation z.B. von IRC � IM

Techniken: Update



23

Techniken: Verteidigung

• Beenden/Deaktivieren ungewollter Programme (z.B. AV)

• Verstecken (Rootkit Techniken)

• Angriffe auf Forscher (meist DDoS)

“When Researchers tried to understand the working of the

Storm botnet DDoS Attacks were made on the hosts whichthey worked on.” [Krogoth 2008]



24

Techniken: Verteidigung

Vereinfachtes Beispiel einer AV Detection anhand F-Secure‘s

BugBear.B Analyse



25

Erkennen und Entfernen



26

Erkennen und Entfernen: Infektionen von Bots erkenn en

2 Methoden:

� Lokale (local detection)

� Manuelle Erkennung

� AV� Host-Based Intrusion Detection System (HIDS)

� Netzwerk (network detection)� Klassische Netzwerk Analyse

� Kommunikationsanalyse

� Kommunikationssignatur Analyse



27

Kommunikationsanalyse am Beispiel von Wireshark




28


• Werkzeuge zum Entfernen von Bots:

� McAfee Stinger [Link]� Microsoft Windows Defender [Link]

� Spybot – Search & Destroy [Link]

� TrojanHunter [Link]� SwatIt [Link]

� Trojan Defence Suite [Link]

• Dennoch:

� Vertrauenswürdigkeit ?

� Neuinstallation!



29

Erkennen und Entfernen: Aufspüren von Botnetzen

• Einige Botnet-Detection Frameworks

� IRCd, öffentlich (z.B. DDD + GnuWorld)� IRCd, privat (z.B. Rishi an der RWTH Aachen)

� E-Mail (CipherTrust ZombieMeter; Spamhaus XBL; jeder Andere)

� Diverses (Darknet, Network Telescope o. Internet Motion Sensor)

� Honeypots (z.B. honeyd oder Glastopf)

� AV/Managed network sensing (Sophos)

• Problem: Teure Überwachung



30


IRC-Botnetz-Erkennung an der RWTH Aachen mit Rishi



31


Alternative: DynDNS-Based Detection nach Dagon

� 3LD. SLD. TLD

botnet.example.com

� Canonical DNS Request Rate:

� ≙ Aufsummierung der Kinder SLDi



32


Als DynDNS Kunden neigen Botnetze Subdomains zu nutzen

SLD/3LD-Kennzahlen zur Identifikation von Botnetz-Verkehr



33

Ausblick



34

Ausblick

Botnetzen nach wie vor ein aktuelles Thema:

� Malware as Service (Amazon EC2; Google App Engine)

� PC nicht mehr einzige betroffene

Architektur � 23.11.2009 erstes iPhone

Botnet (iKee.B)

� Errichtung eines „Callcenters zurBekämpfung von Botnetzen“ von

BSI und eco

iKee.AWurm:



35

Haben Sie noch Fragen?

Vielen Dank für Ihre Aufmerksamkeit!


Documents

Botnetze - Funktion, Erkennunf und Entfernung